在加密货币领域,DeFi成为了一个重要的发展方向。然而,随着其市场份额的增长,DeFi平台也面临着越来越多的安全威胁。
最近,Moremoney的联合创始人兼产品负责人?Sirmoremoney在TwitterSpaces上讨论了一些关于DeFi安全的话题,特别是针对抵押品价格操纵和闪电贷攻击等方面的风险。ReveloIntel总结了此次Spaces的发言,并讨论如何采取措施来缓解这些风险。
涉及合约漏洞的攻击/闪电贷攻击
闪电贷攻击涉及利用短时间内无需抵押即可借款的能力来操纵价格或窃取资金。以Platypus攻击为例来说明涉及合约漏洞的攻击。??
Brian Armstrong:欧盟的加密法规已将欧盟及其成员国置于领先地位:金色财经报道,Coinbase首席执行官Brian Armstrong在第一季度财报电话会议上表示,解决监管问题对美国来说很重要,因为包括金融中心在内的其他国家都在争夺加密货币领域的领先地位。虽然像欧盟这样的超国家组织已经通过了全面的加密监管,但英国、香港和新加坡等地区变得比美国更加乐观。Armstrong认为,欧盟的加密资产市场 ( MiCA ) 法规已将欧盟及其成员国置于领先地位。[2023/5/7 14:47:54]
攻击者从Aave借出了4400万美元的闪电节点,将其存入Platypus,并借出4200万美元。然后,他们利用合约中的漏洞进行了紧急提款,提取了初始存款并保留了贷款。这次攻击导致了?PlatypusFinance2亿美元的资金损失。
数字藏品三项周指数均下跌:金色财经报道,2023年2月28日-3月06日数字藏品国际周指数大幅下跌11.7至15.1点,国内周指数下跌27.6点至72.9点,数字藏品综合价值周指数下跌18.1至38.2点。
备注:
· 数字藏品综合价值指数由同伴客数据与链境Labs联合研发,是对国际及国内当月市场热度最高的数字艺术品项目市场总销售规模的综合反映,以2021年11月份销售额的30分之7为基数,指数基值为100。
·国内周指数成分之一的幻核于8月16日发布平台终止运营公告,但销量已于7月10日后归零。为遵循去掉某一成分后指数计算结果无变化的原则,该指数使用幻核7/4-7/10的销售数据进行销售基数调整,并将新的销售基数作为8/14后的指数计算基数。[2023/3/6 12:45:19]
然而,他们只能以大约850万美元的价格交换剩余的4200万美元的?USB。Platypus的安全顾问和内部团队能够收回240万美元,而Feather和Circle则冻结了卡在合约中的资金。攻击者后来也在法国被逮捕。
以太坊Layer2总锁仓量小幅回升至44.9亿美元,7日涨幅3.79%:金色财经报道,据L2BEAT数据显示,当前以太坊Layer2总锁仓量小幅回升至44.9亿美元,7日涨幅3.79%。其中,锁仓量前五分别为:ArbitrumOne(23.6亿美元,7日涨幅2.36%);Optimism(12.6亿美元,7日涨幅5.46%);dYdX(4.21亿美元,7日涨幅6.67%);MetisAndromeda(0.9509亿美元,7日涨幅8.4%);Loopring(0.93亿美元,7日涨幅2.6%)。[2022/12/3 21:19:22]
这次攻击是由低级黑客发起的,到目前为止已经有70%的被盗资金已经被追回。
从这次攻击中得到的教训是,协议需要有适当的安全措施,例如限制谁可以调用紧急提款功能,并实施债务上限以限制可能造成的损失。
紧急提款功能
例如,Moremoney有一个只能由协议本身或治理调用的救援功能。
他们强调了限制谁可以调用此功能的重要性,就像在Platypus的此次情况中并没有这样做。
抵押品价格操纵攻击
价格操纵攻击涉及操纵去中心化交易所上代币的价格,以借出比抵押品实际价值更多的资金。
以Mango和Loadstar的攻击为例子。这些攻击导致用户遭受了重大损失,并显示了监控抵押品价格和实施措施以防止价格操纵的重要性。
在这两种情况下,攻击者操纵了DEX上代币的价格,以借出比抵押品实际价值更多的资金。选择价格预言机对于协议的安全性至关重要,使用现货价格预言机总是一个糟糕的主意,因为闪崩或其他价格波动可能导致重大损失。
减轻风险的措施
这些措施包括对智能合约进行彻底审计,实施多因素认证和其他安全措施,以及隔离与不同资产和借贷池相关的风险。
隔离的CDP池
隔离的CDP池对于帮助减轻与多因素池相关的风险非常重要。
他们指出,每个抵押资产都是隔离的,这意味着如果攻击者能够利用其中一个资产,他们将无法从整个池中提取资金。
隔离的负债上限
隔离的负债上限可以限制针对每个抵押资产可以借入的金额。
他们认为,这有助于防止攻击者借入大量资金,并减轻与多因素池相关的风险。
全局负债上限
协议可以实施全局负债上限,限制平台上所有资产的借入总额。
这有助于防止平台过度杠杆化,并减少任何单个攻击的潜在影响。
今天凌晨,Uniswap在其官推宣布推出自托管移动端开源钱包,由于AppStore上架审核问题,Uniswap目前仅可向10,000名用户发放TestFlight测试资格.
1900/1/1 0:00:001.你真的看懂DookeyDash了嘛?1.1简单的小游戏这是一款小游戏,玩家需要做的只有一件事尽可能让自己获得最高分数,规则如下:在下水道里操纵飞行器躲避障碍物,生存时间越长分数越多.
1900/1/1 0:00:00总有币圈媒体和一些个人散播FUD,声称上海升级期间,将会有1700万个ETH被取消质押,但是真相是什么?我想他们不会说.
1900/1/1 0:00:00如果加密货币真正成为主流,Web3域名将会有一个广阔的市场。因为「每个人」最终都将拥有一个Web3钱包,人类可读的数字钱包地址就像电子邮件地址一样普遍.
1900/1/1 0:00:00ZK作为L2、隐私、跨链等概念下的核心技术派系,该板块热度自2022年延续至今;近期的?ETHdenver大会上,ZK持续高热.
1900/1/1 0:00:00近日,著名交易所Coinbase发布新闻,宣布上线自己开发的以太坊第二层扩展系统Base。该消息旋即在业内引发热议和讨论.
1900/1/1 0:00:00